Documentos de Académico
Documentos de Profesional
Documentos de Cultura
con JWT en
aplicaciones .NET
1. Conceptos básicos de seguridad
2. Cookies vs Tokens
3. Definiciones de JWT
4. Fundamentos de JWT
5. Anatomía de JWT
6. Estructura de un Token
7. Nuestros amigos debuggers
8. Ciclo de vida de un Token
9. Librerías y vulnerabilidades
10.Vamos a la acción
UN REPASO A CONCEPTOS BASICOS
Autenticación
- Recepción hotel
- Login con password
- HTTP 401 Unauthorized
Autorización
- Llave de la habitación
- Permisos de acceso
- HTTP 403 Forbidden
Cookies vs Tokens
Cookies: WebForms, asp.net mvc, etc Tokens: Api key, OAuth2, openID, SSO, etc.
Sesión: Necesitan ser guardas en el servidor, -Escalable Sesión: Se almacena en cada cliente, +Escalable
Datos: Contiene la sessionID, AUTH del usuario Datos: Contiene información del usuario
https://es.wikipedia.org/wiki/JSON_Web_Token https://tools.ietf.org/html/rfc7519
• Desktop, Mobile & Web Ready!!
• Ligero: podemos codificar gran cantidad de datos y pasarlo como una cadena.
• Self-container: Delegamos mantener el estado al cliente.
• Stateless: Creamos servicios optimizados desacoplados del servidor .
• Scalable: Los webserver pueden escalar sin problemas y aumentar en rendimiento.
• La información es confiable porque está firmada digitalmente.
• "Authorization: Bearer token“ es la forma más común de enviarlo (existen otras).
• ¡Nos olvidamos de cookies!
RECORDAR: Siempre, debemos usar HTTPS entre el cliente/servidor para encriptar las peticiones.
ANATOMIA DEL TOKEN
jti: Es muy útil para usar Tokens de un solo uso y evitar ataques.
Especificación: https://tools.ietf.org/html/rfc7519
JWT – ESTRUCTURA DEL TOKEN
https://docs.microsoft.com/en-us/security-updates
JWT
LIBRERIAS
Y
VULNERABILIDADES
Vulnerabilities: https://docs.microsoft.com/en-us/security-updates/securityadvisories/2017/3214296
Ciclo de vida de un Token
DEMO ASP.NET WEB API
DEBUGGERS
CUESTIONES CLAVE
• https://jwt.io
• https://www.jsonwebtoken.io
• https://tools.ietf.org/html/rfc7519
• https://docs.microsoft.com/en-us/security-updates/securityadvisories/2017/3214296
• https://auth0.com/blog/ten-things-you-should-know-about-tokens-and-cookies/